Azure Virtual Network について調べる
- 12 分
Azure Virtual Networks (VNet) は、Azure のプライベート ネットワークの基本的な構成要素です。 VNet を使用すると、オンプレミスのネットワークに似た複雑な仮想ネットワークを構築でき、さらにスケール、可用性、分離などの Azure インフラストラクチャの他のベネフィットがあります。
このビデオでは、IP アドレス指定とサブネット化の基本について説明します。
Azure Virtual Network の機能
Azure VNet を使用することで、Azure のリソースは、相互に、インターネットと、そしてオンプレミス ネットワークと、安全に通信できるようになります。
- インターネットとの通信。 VNet 内のすべてのリソースにおいて、既定でインターネットへの送信方向の通信が可能です。 リソースへの受信通信は、リソースにパブリック IP アドレスまたはパブリック ロード バランサーを割り当てることによって可能になります。 パブリック IP またはパブリック ロード バランサーを使用して、送信接続を管理することもできます。
- Azure リソース間の通信。 Azure リソースの通信を可能にする主要なメカニズムは、VNet、VNet サービス エンドポイント、VNet ピアリングの 3 つです。 仮想ネットワークは、仮想マシン (VM) だけでなく、App Service Environment、Azure Kubernetes Service、Azure Virtual Machine Scale Sets などの他の Azure リソースにも接続できます。 サービス エンドポイントを使用して、Azure SQL データベースやストレージ アカウントなど、他の Azure リソースの種類に接続することができます。 VNet を作成するとき、ご使用のサービスと VNet 内の VMが、クラウド内で互いに直接かつ安全に通信することができます。
- オンプレミス リソース間の通信。 データ センターを安全に拡張します。 次のオプションを使用して、オンプレミスのコンピューターとネットワークを仮想ネットワークに接続できます: ポイント対サイト仮想プライベート ネットワーク (VPN)、サイト間 VPN、Azure ExpressRoute。
- ネットワーク トラフィックのフィルター処理。 ネットワーク セキュリティ グループとネットワーク仮想アプライアンスの任意の組み合わせを使用して、サブネット間のネットワーク トラフィックをフィルター処理できます。
- ネットワーク トラフィックのルーティング。 Azure では、既定で、サブネット、接続されている仮想ネットワーク、オンプレミス ネットワーク、およびインターネット間でトラフィックがルーティングされます。 ルート テーブルまたは Border Gateway Protocol (BGP) ルートを実装して、Azure によって作成される既定のルートをオーバーライドできます。
Azure Virtual Network の設計に関する考慮事項
アドレス空間とサブネット
リージョンごとのサブスクリプションごとに、複数の仮想ネットワークを作成できます。 各仮想ネットワーク内には複数のサブネットを作成することができます。
仮想ネットワーク
VNet を作成するときは、RFC 1918 で列挙されたアドレス範囲を使用します。 これらのアドレスは、プライベートでルーティング不可能なアドレス空間用です。
- 10.0.0.0 - 10.255.255.255 (10/8 プレフィックス)
- 172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス)
- 192.168.0.0 ~ 192.168.255.255 (192.168/16 プレフィックス)
さらに、これらのアドレス範囲は予約されています。
- 224.0.0.0/4 (マルチキャスト)
- 255.255.255.255/32 (ブロードキャスト)
- 127.0.0.0/8 (ループバック)
- 169.254.0.0/16 (リンク ローカル)
- 168.63.129.16/32 (内部 DNS)
サブネット
サブネットは、VNet 内の IP アドレスの範囲です。 VNet を異なるサイズのサブネットに分割します。 その後、特定のサブネットに Azure リソースをデプロイします。 従来のネットワークのように、サブネットでは、組織の内部ネットワークに適したセグメントに VNet アドレス空間をセグメント分割することができます。 サポートされる最小の IPv4 サブネットは /29、最大は /2 です (CIDR サブネット定義を使用)。 IPv6 のサブネットは、正確に /64 のサイズである必要があります。 サブネットの実装を計画する場合は、次の点を考慮してください:
- サブネットごとに、クラスレス ドメイン間ルーティング (CIDR) 形式で指定された、一意のアドレス範囲が必要です。
- 特定の Azure サービスには、独自のサブネットが必要です。
- トラフィック管理にサブネットを使用できます。 たとえば、サブネットを作成し、ネットワーク仮想アプライアンス経由でトラフィックをルーティングできます。
- 仮想ネットワーク サービス エンドポイントを使用して、Azure リソースへのアクセスを特定のサブネットに制限することができます。 複数のサブネットを作成し、一部のサブネットではサービス エンドポイントを有効にして、それ以外では無効にすることができます。
仮想ネットワークに関する考慮事項
仮想ネットワークの実装を計画するときは、次の点を考慮する必要があります:
- アドレス空間が重複しないようにします。 VNet アドレス空間 (CIDR ブロック) が組織の他のネットワークの範囲と重複しないようにします。
- セキュリティの分離は必要か?
- IP アドレス指定の制限を軽減する必要はあるか?
- Azure VNet とオンプレミス ネットワークの間に接続はありますか?
- 管理のために必要な分離はあるか?
- 独自の VNet を作成する Azure サービスを使用しているか?
それぞれの質問に最も適した回答を選んでください。